نفوذ هکرهای ایرانی در قالب روزنامهنگار برای جاسوسی از کارشناسان جنگ اسرائیل و حماس
اخبار داغ فناوری اطلاعات و امنیت شبکه
افراد برجستهای که در دانشگاهها و سازمانهای تحقیقاتی در بلژیک، فرانسه، غزه، اسرائیل، بریتانیا و ایالات متحده در حوزه امور خاورمیانه کار میکنند، از نوامبر ٢٠٢٣ مورد هدف یک گروه جاسوسی سایبری ایرانی به نام «Mind Sandstorm» قرارگرفتهاند.
تیم مایکروسافت Threat Intelligence در ادعایی در روز چهارشنبه گفت که عامل تهدید از فریبهای فیشینگ سفارشی در تلاش برای مهندسی اجتماعی اهداف برای دانلود فایلهای مخرب استفاده میکند و آن را بهعنوان «نسخه بهبود یافته زیرگروه فنی و عملیاتی Mind Sandstorm» توصیف میکند.
این حملات، در موارد مشخص، شامل استفاده از Backdoor ناشناخته قبلی به نام MediaPl میشود که نشاندهنده تلاشهای مداوم مهاجمان تهدیدکننده ایرانی برای اصلاح ساختههای آنها پس از نفوذ است.
گروه Mint Sandstorm که با نامهای APT35، Charming Kitten، TA453 و Yellow Garuda نیز شناخته میشود، بهخاطر کمپینهای مهندسی اجتماعی حرفهای خود شناخته میشود، و حتی بهحسابهای قانونی اما در معرض خطر برای ارسال ایمیلهای فیشینگ سفارشی به اهداف احتمالی متوسل میشود. طبق ادعاها، این گروه وابسته به سپاه پاسداران انقلاب اسلامی ارزیابی شده است.
این زیرمجموعه، به گفته ردموند، در مهندسی اجتماعی با منابع فشرده شرکت میکند تا روزنامهنگاران، محققان، اساتید و سایر افراد را با بینشهایی در مورد مسائل امنیتی و سیاستی مورد علاقه تهران، هدف قرار دهد.
آخرین مجموعه نفوذ این گروه، با استفاده از فریبهای مربوط به جنگ اسرائیل و حماس، ارسال ایمیلهای بیضرر تحت پوشش روزنامهنگاران و سایر افراد برجسته برای ایجاد رابطه با اهداف و ایجاد سطح اعتماد قبل از تلاش برای ارسال بدافزار به اهداف است.
مایکروسافت در ادعاهای خود افزود ک به احتمال زیاد این کمپین تلاشی است که توسط عامل تهدید ملی-دولتی برای جمعآوری دیدگاهها در مورد رویدادهای مربوط به جنگ انجام شده است.
استفاده از اکانتهای نقض شده متعلق به افرادی که بهدنبال جعل هویت برای ارسال پیامهای ایمیل هستند، یک تاکتیک جدید Mind Sandstorm میباشد که قبلا دیده نشده است؛ همانطور که استفاده از دستور curl برای اتصال به زیرساخت command-and-control (C2) است.
اگر اهداف با عامل تهدید درگیر مذاکره شوند، یک ایمیل بعدی حاوی یک لینک مخرب برای آنها ارسال میشود که به یک فایل بایگانی RAR را در خود جای داده است، که پس از باز شدن، منجر به بازیابی اسکریپتهای ویژوال بیسیک از سرور C2 میشود تا در داخل محیط کاربری اهداف خود باقی بماند.
زنجیرههای حمله بیشتر راه را برای ایمپلنتهای سفارشی مانند MischiefTut یا MediaPl هموار میکنند که اولینبار توسط مایکروسافت در اکتبر ۲۰۲۳ فاش شد.
ایمپلنت MischiefTut که در PowerShell پیادهسازی شده است یک backdoor اولیه است که میتواند دستورات شناسایی را اجرا کند، خروجیها را در یک فایل متنی بنویسد و ابزارهای اضافی را روی یک سیستم در معرض خطر دانلود کند. اولین استفاده ثبت شده از این بدافزار به اواخر سال ٢٠٢٢ برمی گردد.
از سوی دیگر، MediaPl بهعنوان Windows Media Player ظاهر میشود و برای انتقال ارتباطات رمزگذاری شده به سرور C2 خود و راه اندازی دستورهایی که از سرور دریافت کرده، طراحی شده است.
مایکروسافت گفت: "Mint Sandstorm به بهبود و اصلاح ابزار مورد استفاده در محیطهای اهداف ادامه میدهد، که متعاقبا ممکن است به گروه کمک کند در یک محیط آسیبدیده باقی بماند و بهتر بتواند از هرگونه شناسایی در امان بماند".
این گزارش میافزاید: توانایی بهدست آوردن و حفظ دسترسی از راه دور به سیستم یک هدف میتواند Mint Sandstorm را قادر به انجام طیف وسیعی از فعالیتهایی کند که میتواند بر محرمانه بودن یک سیستم تاثیر منفی بگذارد".
این افشاگری در حالی منتشر شد که روزنامه هلندی De Volkskrant در اوایل این ماه فاش کرد که اریک ون سابن، یک مهندس هلندی که توسط اسرائیل و سرویسهای اطلاعاتی ایالات متحده استخدام شده بود، ممکن است از پمپ آببرای استقرار یک نوع اولیه از بدافزار استاکسنت در یک تاسیسات هستهای ایران در سال ۲۰۰۷ ستفاده کرده باشد.
برچسب ها: MediaPl, Mind Sandstorm, MischiefTut, غزه, Yellow Garuda, Gaza, TA453, Cyber Warfare, Iran, PowerShell, Hacker, cybersecurity, Social Engineering, مهندسی اجتماعی, ایران, israel, malware, Charming Kitten, APT35, اسرائیل, جاسوسی سایبری, backdoor, هکر, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, حمله سایبری, news